Tui có thắc mắc, muốn hỏi Hoàng: các app viết bằng AutoIt đều bị pack = UPX, thì làm sao Hoàng detect được, chả lẽ phải unpack trên memory rồi find AutoIt string à. Nguy hiểm thế.
 

Và giả sử App AutoIt bị pack thêm một lần nữa bằng packer nào đó thì sao nhỉ ?
 

Tui cũng nghi ngờ nên test thử rùi,nếu pack thêm phát nữa cũng bị đập thui.Chỉnh cả PE header làm giả PE của msconfig cũng bị túm ( đôi lúc chỉnh PE AutoIT cũng ko chịu chạy )
 

+ 23/09/2006:
_ Phiên bản 3.0 ra mắt với các tính năng vượt trội.
_ Nâng cấp scanner. Quét tập tin với tốc độ nhanh gấp 2 lần.
_ Thêm chức năng cô lập các chương trình AutoIt. Các tập tin nằm trong quarantine sẽ được mã hoá để tránh các chương trình khác phát hiện nhầm lẫn và người dùng vô tình thực thi.
_ Một số công cụ mới được bổ sung:
+ Startup: Quản lý những chương trình tự thực thi
+ Theo dõi: Ghi lại nhật ký những thay đổi AutoRun trong Registry
+ Hosts file: Tránh malware hijack, dẫn người dùng đến những trang khác. Ví dụ, gõ www.google.com lại ra www.abc.com. Xem thêm tại đây.
_ Thêm nhiều tuỳ chọn để người dùng dễ dàng hơn trong việc sử dụng
_ Chống AutoIt tự nhấn nút Thoát bằng cách hiện random number
_ Không cho phép suspend lẫn kill process bởi các chương trình viết bằng AutoIt.
_ Thêm tính năng thông báo cho người dùng mỗi khi có phiên bản mới.
 

+ 23/09/2006:
_ Phiên bản 3.0 ra mắt với các tính năng vượt trội.
_ Nâng cấp scanner. Quét tập tin với tốc độ nhanh gấp 2 lần.
_ Thêm chức năng cô lập các chương trình AutoIt. Các tập tin nằm trong quarantine sẽ được mã hoá để tránh các chương trình khác phát hiện nhầm lẫn và người dùng vô tình thực thi.
_ Một số công cụ mới được bổ sung:
+ Startup: Quản lý những chương trình tự thực thi
+ Theo dõi: Ghi lại nhật ký những thay đổi AutoRun trong Registry
+ Hosts file: Tránh malware hijack, dẫn người dùng đến những trang khác. Ví dụ, gõ www.google.com lại ra www.abc.com. Xem thêm tại đây.
_ Thêm nhiều tuỳ chọn để người dùng dễ dàng hơn trong việc sử dụng
_ Chống AutoIt tự nhấn nút Thoát bằng cách hiện random number
_ Không cho phép suspend lẫn kill process bởi các chương trình viết bằng AutoIt.
_ Thêm tính năng thông báo cho người dùng mỗi khi có phiên bản mới.
 

Tôi đang tự nghĩ bác Hoàng với bác Thái giờ đang rảnh rang quá, hay là hết nghĩ ra chuyện gì hay hay để làm rồi hay sao ấy nhỉ?

Ngoài cái lợi nho nhỏ trước mắt là website của các bác được người ta vào để...download chương trình, còn lại nhìn tới nhìn lui, nhìn qua nhìn lại tôi chưa thấy người dùng có lợi lộc gì từ chương trình hay ý tưởng của 2 bác cả, đó là chưa kể "lợi thì có lợi nhưng răng không còn"  

+ Máy tôi đã cài [FireLion] IE Protector những không hoạt động dù đã chọn nút Hoạt động. Tại sao ?
_ Có hai nguyên nhân chính sau:
. Chương trình được thực thi dưới quyền User. Lúc này, chức năng tự bảo vệ sẽ không hoạt động đúng với bản không cần cài đặt. Bản phải sử dụng phiên bản cài đặt để có thể thực thi dưới quyền User
. Chương trình được cài chung với DeepFreeze. Trên nguyên tắc, nếu máy bạn đã cài DeepFreeze rồi thì không phải lo lắng về malware nữa. Tuy nhiên, nếu bạn vẫn muốn [FireLion] IE Protector hoạt động. Bạn phải disable DeepFreeze, dùng bản cài đặt và mở lại (enable) DeepFreeze.
Cho tới phiên bản 3.0. Chúng tôi vẫn chưa có kế hoạch cập nhật để có thể chạy với DeepFreeze vì chỉ cần restart là mọi thứ trở lại như cũ.
 

eBook/source (Delphi càg tốt),có ai júp với? 

Em đề nghị bác Levuhoang bổ sung phần theo dõi xem phần mềm đó ghi (hoặc xoá) gì vào Registry (phần mềm bị nghi ngờ) nếu có nó thì những pre _ mới biết cách khống chế được và cũng không vất vả phải xác nhận mỗi khi có động tác ghi vào reg.
 

em đang tìm phần mềm kiểm tra việc ghi vào reg của 1 phần mềm khác mà chưa đựoc, rất mong các bác giúp đỡ.
thanks
 

Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\Common7\IDE\devenv.exe" "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.sln"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\Common7\IDE\devenv.exe" "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.csproj"
Ngưng thực thi: "C:\Program Files\Microsoft Visual Studio .NET 2003\SDK\v1.1\QuickStart\winforms\samples\printing\simplepad\cs\SimplePad.exe"



bác xem cho em vụ này nữa  

hình như bác viết cái này bằng delphi thì phải?
 

Cuối cùng thì cũng test được con quangcoi.exe . Đây là một WinRAR SFX bao gồm Perfect Keylogger + YiMBot (AutoIt SPIM). [FireLion] IE Protector vẫn có thể diệt được YiMBot
 

Anh Hoàng có thể nói sơ qua về cơ chết diệt những con này được không, em thấy cách diệt rất hay. Cảm ơn anh 

Nhờ bác LeVuHoang hướng dẫn 1 chút về IE Protector cho em với :
- Kỹ thuật chống tắt(Nếu có 1 chú VR set priority của mình lên mức realtime rồi kill process của bác thì có thoát được không ? )
- Làm sao để xác định 1 file đang được download về (Có thể download theo đường khác ví dụ dùng lệnh send file của YM thì có phát hiện được không?)
- Phuơng pháp nhận dạng file AutoIt (theo em thì mở file exe ra như kiểu mở 1 file text sau đó tìm xem trong đó có chũ autoit không là xác định được, không biết cao kiến của bác thế nào)
- Em muốn lập trình 1 chuơng trình tìm diệt 1 file nào đó(virus, trojan mà em biết) thì lập trình như thế nào để scan 1 ổ đĩa cứng ? các ổ đĩa trong máy hoặc 1 thư mục chỉ định (scan như các chương trình Antivirus vẫn hay làm ấy)
Rất mong bác chỉ giáo !Thanks 

Hoang dai ca tuy em chưa xem nhưng không có niềm hy vọng đâu
Một ngôn ngữ không hỗ trợ lớp nền thì cũng được cái đẹp.Xin hỏi anh Intell có hợp tác với Borland không?????????/??? 

Mình thấy mod Levuhoang có thể share mã nguồn của chương trìng IE_Protect ko? Nếu được thì tốt quá. 

Tuy nhiên, những dạng khác như content filtering cho web, cho instance messages, cho teleconference... là chuyện rất đau đầu.
 

Tất cả các msg đã nhận mà chưa được confirmed đều được lưu vào database, không có chuyện mất msg ở đây.
 

Tui sẽ viết kĩ hơn về whitelist, blacklist và Bayesian filtering trong bài viết tới.
 

cái ieprotecter này sài good lắm không bắt được con autoIT nào mà bắt được file yupdate.exe nằm trong thư mục cài đặt của yahoo. Sau khi bắt được 1 life này ở chế độ tự động thì hết

chả hiểu sao, chả liên wan gì đến autoIT ở đây, mặc dù đã scan hết roài.

dù sao cũng cảm ơn anh LEVUHOANG 

- sẽ là rất khó cho virus chôm được challenge code.
 

+ Sử dụng WinAPI để capture đoạn text từ cửa sổ chat của user.
 

Theo tui biết thì hiện tại AutoIt script không có khả năng làm chuyện này. Dĩ nhiên là một chương trình viết bằng một ngôn ngữ lập trình mạnh hơn kiểu như Delphi hoàn toàn có khả năng làm chuyện này, nhưng tui tin rằng:

+ Chẳng ai đủ thông minh viết một chương trình như vậy lại đi viết virus. Nếu có đi chăng nữa thì lượng người này là rất thấp và số lượng virus dạng này là rất ít nên chúng ta có thể an tâm bỏ qua sự hiện diện của chúng.
 

1. Thực ra, xét một cách tổng quát, IEProtector cũng chỉ là một chương trình antivirus. Chúng ta đã có quá nhiều chương trình antivirus, và tác dụng của những chương trình này thì mọi người đều cũng đã rõ. Nếu chúng thật sự làm được việc thì có lẽ virus, spyware, trojan hay các loại malware nói chung đều đã được đưa vào viện bảo tàng. Tui thật sự nghi ngờ vào khả năng làm việc hiệu quả của IEProtector.
 

nó chỉ được kích hoạt khi user đã đọc msg và click vào link. Cứ giả định IEProtector có thể phát hiện được hết tất cả các loại malware
 

ngăn chặn được hết 0-day exploit (một điều mà tui rất nghi ngờ) thì vẫn có ít nhất
 

- SPIM không có link.
 

- User sử dụng một browser khác IE.